《网页防篡改系统》-毕业论文.docVIP

南宁超创信息工程有限公司 技术方案 - PAGE 27 - 网页防篡改系统 系统概述 随着各类机构的计算及业务资源逐渐向其数据中心高度集中，WEB成为一种普遍适用的平台，越来越多地承载了各类机构的核心业务，如电子政务、电子商务等。当前网络上75%的攻击是针对WEB应用的，这些攻击可致网站遭受声誉损失、经济损失甚至政治影响。 广西新闻出版局政务网站也将面临各类安全威胁，高效保障网站应用的可用性和可靠性、优化业务资源和提高应用系统敏捷性至关重要。 传统安全设备（防火墙/IPS）解决WEB应用安全问题存在局限性，而整改网码因需要付出较高代价而较难实现。网页防篡改系统能够提供WEB应用安全防护功能，防御SQL注入、XSS及跨站请求伪造（CSRF）攻击；防御常规盗链和分布式盗链、恶意扫描；提供Cookie安全机制，防止Cookie中敏感信息泄露，以及Cookie篡改；提供服务器信息伪装/过滤，避免出错信息暴露网站敏感信息，为攻击者利用、提升攻击成功概率等功能。 WEB攻击方式 常见的WEB攻击，分为两类：一是利用WEB服务器的漏洞进行攻击，如CGI缓冲区溢出、目录遍历漏洞利用等攻击；二是利用WEB网页自身的安全漏洞进行攻击，如SQL注入、跨站脚本攻击等。常见的针对网页即WEB应用的攻击有： 缓冲区溢出——攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令 Cookie假冒——精心修改cookie数据进行用户假冒 认证逃避——攻击者利用不安全的许可证和身份管理 非法输入——在动态网页的输入中使用各种非法数据，获取服务器敏感数据 强制访问——访问未授权的网页 隐藏变量篡改——对网页中的隐藏变量进行修改，欺骗服务器程序 拒绝服务攻击——构造大量的非法请求，使WEB服务器不能响应正常用户的访问 跨站脚本攻击——提交非法脚本，其他用户浏览时盗取用户账号等信息 SQL注入——构造SQL代码让服务器执行，获取敏感数据 本系统部署在WEB应用服务器前端，其设计目标为：准确监测、识别各类针对WEB应用的攻击型流量并进行实时阻断，缓解针对WEB应用的DDoS（Distributed Denial of Service）攻击，利用缓冲技术实现WEB内容篡改防护和WEB加速，提供实时的、深度的、主动的安全防御，为广西新闻出版局提供了一个完善的WEB应用防护解决方案。 Web应用安全功能 1、提供WEB应用安全防护功能，包括：防御SQL注入、XSS及跨站请求伪造（CSRF）攻击；防御常规盗链和分布式盗链、恶意扫描；提供Cookie安全机制，防止Cookie中敏感信息泄露，以及Cookie篡改；提供服务器信息伪装/过滤，避免出错信息暴露网站敏感信息，为攻击者利用、提升攻击成功概率；提供URL ACL功能。 2、产品提供WEB基础架构防护功能，可防御蠕虫、缓冲区溢出、CGI信息扫描、目录遍历等攻击。 3、产品防护策略模型基于静态规则的反向（黑名单）安全模式及基于智能用户行为识别的动态防护机制（正向安全模式，即白名单）。 4、产品采用全面深入的协议分析技术，结合模式匹配、协议识别、关联分析等多种技术，防护各类常见的Web应用攻击，如蠕虫、黑客攻击、跨站脚本等；对变形或是混合型的攻击也能提供实时的防护。 5、产品基于智能特征分析技术，提供对SQL注入的有效防护，从而事前有效防护网页篡改。 6、产品支持HTTPS会话分析功能，能够对SSL（HTTPS）加密会话进行分析。 7、产品提供网络层安全控制功能，包括：ARP欺骗防护功能；提供基于五元组（源IP地址、目的IP地址、源端口、目的源口、协议类型）及接口的ACL访问控制功能。 8、产品支持虚拟Web应用防护系统功能，可支持基于网络、域名、服务、时间、WEB等多对象，制定不同的策略和响应方式，从而实现细粒度Web应用防护。 系统部署 部署能力 1、支持直通（Direct）、透明（Layer2）、监听（Monitor）及管理（Mgt）等多模式工作方式。 2、产品支持串联和旁路监听部署模式，可根据业务需求灵活快速部署在各种网络环境中。 3、产品能够适应不同的网络环境，支持VLAN 802.1Q。 4、产品支持透明反向代理，在网络中即插即用而无需更改网络及服务器配置，降低部署、维护开销。 5、产品工作不介入WEB正常业务流程，不占用WEB服务器端业务资源，不影响其性能和稳定性。 6、产品提供高可用性（HA），支持主用/主用、主用/备用两种部署方式，出现设备宕机、端口失效等故障时，完成主机和备机的即时切换，确保关键应用的持续正常运转。 系统